Remoção de vírus

**Thais Clarisse** · 21-06-09 14:54

Olá Mr.Wolf,

Então foi meu tio que colocou esse avira aqui faz 1 mes mais ou menos. Eu ate que achei ele bom mas sei lá, nunca tinha ouvido falar dele. Ele não viu esse virus aqui mesmo pq fiz um scan e ele nao disse nada de virus. Fico agradecida de vc se preocupar em avisar a avira antivirus sobre o meu virus. Vc trabalha na avira??

Os logs que vc pediu estao logo abaixo.

Muito obrigado pela ajuda que esta me dando.

Abraço, Thais

Log do Sdfix

SDFix: Version 1.240
Run by THAIS AXÉ on dom 21/06/2009 at 14:23

Microsoft Windows XP [versÆo 5.1.2600]
Running From: C:\SDFix

Checking Services :

Infected user32.dll Found!

user32.dll File Locations:

"C:\WINDOWS\system32\user32.DLL" 577536 10/06/2009 22:02
"C:\WINDOWS\system32\dllcache\user32.dll" 577536 10/06/2009 22:02

[C:\WINDOWS\system32\user32.DLL] B135687361CC82DD90066D53CEAAF524
[C:\WINDOWS\system32\dllcache\user32.dll] B135687361CC82DD90066D53CEAAF524

[C:\WINDOWS\System32\ecvnoxit] B135687361CC82DD90066D53CEAAF524
[C:\WINDOWS\System32\gzqbqvsumi] E0FF28447D1038DE106D1F2FDF851647
[C:\WINDOWS\System32\jnxqzm] B135687361CC82DD90066D53CEAAF524
[C:\WINDOWS\System32\vbvubr] B135687361CC82DD90066D53CEAAF524

Note: SDFix does not repair this file!

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting

Service {DEF85C80-216A-43AB-AF70-1665EDBE2780} - Deleted

Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\67290192.exe - Deleted
C:\WINDOWS\SYSTEM32\000019929.exe - Deleted
C:\WINDOWS\SYSTEM32\123123.exe - Deleted
C:\WINDOWS\SYSTEM32\FTPD.DLL - Deleted
C:\WINDOWS\SYSTEM32\iahbs.dll - Deleted
C:\WINDOWS\SYSTEM32\osdsss.dll - Deleted
C:\WINDOWS\Temp\ed47fa.$ - Deleted
C:\WINDOWS\Temp\fa1287ec.$$$ - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2009-06-21 14:30:42

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"="C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.5"

"C:\\Arquivos de programas\\MSN Messenger\\livecall.exe"="C:\\Arquivos de programas\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.5 (Phone)"

"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\ \HP1005MC.EXE"="C:\\WINDOWS\\system32\\spool\\driv ers\\w32x86\\3\\HP1005MC.EXE:*:Enabled:SMLMProxy Module - HP1005MC.EXE"

"C:\\Arquivos de programas\\BrScan\\BrScan.exe"="C:\\Arquivos de programas\\BrScan\\BrScan.exe:*:Enabled:BrScan SE"

"C:\\Arquivos de programas\\BrScan\\Atualiza.exe"="C:\\Arquivos de programas\\BrScan\\Atualiza.exe:*:Enabled:Atualiza SE"

"C:\\windows\\system\\win.exe"="C:\\windows\\syste m\\win.exe:*:Enabled:RPCCC"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp3res.dll,-22019"

"C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"="C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.5"

"C:\\Arquivos de programas\\MSN Messenger\\livecall.exe"="C:\\Arquivos de programas\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.5 (Phone)"

Remaining Files :

Files with Hidden Attributes :

Finished!

Log do clean

Rapport clean par Malekal_morte - http://www.malekal.com
Script executed in Safe Mode dom 21/06/2009 a 14:43:08,37

Microsoft Windows XP [versão 5.1.2600]

*** Suppression C:
tentative de suppression de "C:\Jnn.dll"
tentative de suppression de "C:\Ikam.dll"
tentative de suppression de "C:\Ag.zip"
tentative de suppression de "C:\aguduff.zip"

*** Suppression C:\WINDOWS
tentative de suppression de "C:\WINDOWS\sdww.dll"
tentative de suppression de "C:\WINDOWS\rahu.dll"
tentative de suppression de "C:\Windows\IOIM.exe"

*** Suppression C:\WINDOWS\system32
tentative de suppression de "C:\Windows\system32\IOIM.exe"

*** Suppression C:\Arquivos de programas

*** Suppression C:\Documents and settings
tentative de suppression de "C:\Documents and settings\THAIS AXÉ\IOIM.exe"

*** Deletion of the registry keys successful..

**110** · 21-06-09 15:35

Mr.Wolf eu tenho um duvida bem simples, vamos dizer que eu tenha duas partições no meu HD:C e D, se alguem virus infectar a partição C vai infectar a D?

E caso eu tiver 2 HDs se um for infectado o outro também sera?

**Mr.Wolf** · 21-06-09 18:36

Olá pessoal, boa noite!

Postado originalmente por 110

Mr.Wolf eu tenho um duvida bem simples, vamos dizer que eu tenha duas partições no meu HD:C e D, se alguem virus infectar a partição C vai infectar a D?

110, dependendo do tipo de infecção isso pode acontecer sim. Se o vírus infectar, por exemplo, a MBR (Master Boot Record) do HD terá grande chance de infectar uma outra partição que esteja criada no PC. Não é algo comum de acontecer, mas não é improvável e muito menos impossível, vendo que, hoje em dia os vírus estão completamente avançados.

E caso eu tiver 2 HDs se um for infectado o outro também sera?

Depende. Se você tranferir algum arquivo do HD infectado para o outro HD limpo, o outro também será infectado. Do contrário não.

__________________________________________________ _

Postado originalmente por |St1ng3r|

Ultimamente estou recebendo muitos e-mails maliciosos também, que chega a assustar mesmo.
E-mails de cartões virtuais, sms da tim, voo 447 da air france, atualização do bradesco, bb, enfim, muita coisa mesmo.

Amigo |St1ng3r|, o e-mail falso da Air France eu recebi três aqui. Foi aí que descobrimos que também era um Trojan Banker o malware explorado no e-mail. Até divulgamos sobre isso nos artigos de notícias sobre segurança do Linha Defensiva. Vide:
http://www.linhadefensiva.org/2009/0...do-voo-af-447/

Outro e-mail ao qual recebia direto também era o da Oi Torpedos, que na verdade era também um novo Trojan Banker. Notícia completa:
http://www.linhadefensiva.org/2009/0...tribuir-virus/

É bom lembrar também que os cracker gostam de explorar notícias e acontecimentos novos para disseminarem suas pragas. Pois como todos ficam curiosos para ler ou ver algo anexado no e-mail, é aí que somos pegos de surpresa. Este falso e-mail da Air France pegou mais de dois mil usuário em apenas três dias.

Postado originalmente por |St1ng3r|

Sinceramente, a cada dia que passa a impressão é que os crackers estão de 1 a 2 passos a frente das empresas de segurança, ai eu fico pensando até que ponto vale a pena pagar r$100 por uma licença anual de antivirus e quando vc precisa dele, ele não funciona.

E é o que está acontecendo faz tempo já, caro amigo |St1ng3r|. Já que tocou neste assunto, gostaria de mostrar uma figura que gosto bastante, e acho muito inteligente. Veja:

Esta simples figura mostra claramente a realidade vivida hoje.
Hoje o malware se especializou em driblar os softwares de segurança regulares, como antivirus e anti-spyware. Por isso as ferramentas standalones, inclusive as desenvolvidas pelos membros das comunidades da ASAP/UNITE são tão eficientes, pois focam diretamente na remoção da infecção.

Vendo que, nem mesmo antivirus pagos estão dando conta do recado. A cada dia são criadas novas variantes dos vírus, muito mais complexas do que imaginamos. E as empresas antivirus não estão conseguindo acompanhar. Antigamente o avanço não era tanto, pois levava dias e dias para uma nova variante ser disseminada e, não era tão avançada e complexa quanto as de hoje. Mas isso já esperávamos na verdade. Um exemplo clássico que sempre digo aqui no tópico é o famoso, temido e árduo Rootkit Russo. Até hoje não descobrimos nada sobre este vírus, e olha que ele foi disseminado pela primeira vez em março de 2006. O vírus é tão avançado que consegue desinstalar qualquer produto antivirus que esteja instalado na máquina e camuflar-se em menos de três minutos não sendo mais possível detectá-lo por qualquer ferramentas que seja. Simplesmente, pegou um Rootkit Russo, formate o disco! Infelizmente não há outra saída, não existe ferramenta/programa de remoção para este vírus. Seja ComboFix, Kaspersky, NOD32, Norton 2009, Avira AntiVir Premium, G-DATA, Malwarebytes, PrevX, ThreatFire ou qualquer outro software conceituado no mercado atualmente. Para a sorte de nós brasileiros é que este vírus não é comum por aqui. Já na América do Norte, Europa e Ásia sofrem bastante com ele. Sei disso porque também participo de fóruns destes continentes.

Postado originalmente por |St1ng3r|

Já que vc entrou nesse assunto, minha opinião é que esse pessoal deve ser tão ocupado quanto a gente, só que o único objetivo desse tipo de gente é o estudo para roubar os outros, pois isso deve dar muito dinheiro para eles, caso contrario eles não estudariam para criar essas pragas cada vez mais sofisticadas.

Em partes concordo com você, |St1ng3r|. A maioria destes cracker são realmente inteligentíssimos e muito estudiosos, chega a ser até uma coisa doentia o tanto que este pessoal estuda somente para dar golpes e fazer roubos virtuais.
Mas na época em que eu fazia pós-graduação em Segurança da Informação, fizemos muitas entrevistas e pesquisas sobre a vida de muitos crackers/hackers, inclusive "ex-crackers" (hoje estes utilizam seus conhecimentos para ajudar). E por relatos deles mesmo percebi que nem todos são "nerds" como pensamos. Estes bankerzinhos disseminados em Orkut e MSN geralmente são criados por lemmers desocupados que querem descobrir senhas de seus(as) ex-namorados, rivais, amigos, etc... e através destes bankerzinhos, ridículos, diga-se de passagem, podem se transormar em grandes bankers trabalhosos. Muitos crackers experientes por aí gostam de aproveitar simples pragas para deixá-la mais avançada. Pois o raciocínio deles é óbvio e inteligente: Como o malware já está formado (digamos assim), e são muitos os usuários de MSN e Orkut, deixá-lo mais avançado é uma coisa fácil demais e disseminar um vírus nestes locais onde grande parte dos usuários de Internet frequentam se torna uma tarefa no mínimo produtiva.

Postado originalmente por |St1ng3r|

Acho que esse é um trabalho em vão, pois quando um servidor é derrubado, outros 2 são colocados no ar. Digo isso pois vendo minha caixa de spam, eu vejo e-mails diferentes (diferentes datas) com o mesmo conteúdo e com o link diferente apontando para a mesma praga no final do link.

Isso é verdade |St1ng3r|.

Mas o real motivo de derrubarmos um servidor na verdade não é fazer com que ele nunca mais seja refeito ou algo do tipo, é também, mas o principal motivo é a descoberta de novos vírus/malwares que é o essencial e o mais importante para que estejamos seguros contra os mesmos. Porque sem derrubar um link, não há como descobrir totalmente de qual praga se trata e quais são seus códigos para enviarmos as assinaturas dos mesmos para as empresas antivirus.

Postado originalmente por |St1ng3r|

Assustador isso heim
Não afetar o tamanho até que não deve ser difícil, mas eu achava que os antivirus trabalhavam de maneira mais inteligente, verificando não o tamanho, mas sim as MD5, CRC, ou algo do gênero nesses arquivos principais do sistema.

Mas os antivirus também verificam as MD5, CRC, strings, payloads e etc, de cada arquivo sim. O fato é que a camuflagem composta nos dados do arquivo malicioso é muito sofisticado e novo. Até alguém ou alguma empresa antivirus descobrir os códigos utilizados no arquivo para adicionarem ao banco de dados dos produtos já é tarde demais.
Agora, pessoalmente falando, o ideal é utilizar softwares detectores de ADS, MD5, strings e toda propriedade maliciosa para descobrir um vírus ativo em determinado arquivo do que utilizar antivirus. Um ótimo programa para isso chama-se ADSSpy criado pelo mesmo autor do HijackThis - o meu grande amigo Merijn Bellekom - no próprio HijackThis há esta ferramenta integrada, basta clicar em Open the Misc Tools Section > Open ADS Spy.

Postado originalmente por |St1ng3r|

Uma dúvida, quando vc diz "Worm de rede". Isso significa que a praga pode ter contaminado outras máquinas na rede também? Caso positivo como faço para detectar isso? Eu teria que verificar de máquina em máquina?

Exatamente |St1ng3r|. O ideal é verificar primeiramente o computador servidor. Depois verificar de máquina em máquina mesmo.
Mas isso somente caso for um Worm.

Se quiser posso lhe ajudar. Mas pelo log do HijackThis não será possível, vendo que, o log mesmo contem entradas ocultas.

Postado originalmente por |St1ng3r|

Mestre, essa praga se dissemina por pen-drivers também ?
Digo isso pois uso muito o meu disco externo lá no trabalho e aqui em casa. Apesar do meu site do bb aqui estar normal, eu fiquei assustado com a sofisticação dessas pragas atuais.

Sim |St1ng3r|. A praga pode se disseminar por qualquer tipo de mídia removível. Por isso aconselho-o deixar o recuros autorun do Windows completamente desativado e ainda assim segurar a tecla Shfit do teclado ao conectar um dispositivo na máquina.

Postado originalmente por |St1ng3r|

Só para desencargo de consciência, posso postar o log da minha máquina aqui de casa para você analisar ?

Opa amigo |St1ng3r|, claro que pode.

Não precisa nem pedir uma coisa dessas. Fique totalmente a vontade para tal.

Abraços

**Mr.Wolf** · 21-06-09 18:39

Olá igorsk8dias, você está infectado por Trojans.Agent e um Trojan.Fake. Siga os procedimentos do spoiler abaixo (basta clicar em Mostrar):

________________________________

Ferps, o Sality é um File Infector. Eu iria recomendar o uso do Kaspersky Removal Tool realmente. Ele tem sucesso na desinfecção deste vírus. Lembre-se que File Infector contaminam arquivos legítmos. Portanto, não podem ser removidos do sistema. Apenas desinfectados.

Peço que poste o log do scan do Kaspersky Removal Tool aqui para vermos qual é a variante do Sality.

________________________________

lukox, siga abaixo:

________________________________

DaYWaLKeR, se acha que está com vírus no computador, poste um log do HijackThis aqui. Porém, você postou um log não faz muito tempo e o log estava totalmente limpo, tanto que lhe pedi que fizesse um scan online na Kaspersky e o mesmo nada detectou.

Por que acha que está infectado DaYWaLKeR? O que ocorre de anormal, além dos erros que estão relacionados com o próprio messenger?

________________________________

Amiga Thais Clarisse, por gentileza, veja se agora consegue executar o HijackThis e postar o log dele, conforme lhe passei anteriormente.

**Tello** · 22-06-09 00:21

Mr., duas perguntas:
-é possível um vírus infectar um mp3 ou mp4 player? Digo, sei que é possível salvar arquivos infectados, mas dá pro vírus estragar o player de alguma forma?
-vi o caso do amigo |St1ng3r| e pensei em uma coisa: coisas do tipo bankline, como transfers. pagtos de contas etc., se feitos num Linux (Ubuntu no meu caso) é tranquilo ou tem como ocorrer o phishing tbm??

Vlw

PS: quando chegar ao trabalho esta 2ª feira, vou fazer o passo do RSIT q vc me disse.
Até mais.

**Gustavo MPO** · 22-06-09 07:49

Olá Mr.Wolf, td bem?
Há um bom tempo que não posto aqui, andei ocupado demais com estudos esse semestre e fiquei sem tempo para mais absolutamente nada. Agora de férias, já da para voltar um pouquinho no que era antes...
Bom, vendo seu post acima pintou uma dúvida.

Citação:
E caso eu tiver 2 HDs se um for infectado o outro também sera?
Depende. Se você tranferir algum arquivo do HD infectado para o outro HD limpo, o outro também será infectado. Do contrário não.

Sempre pensei que a mesma "regra" se aplicasse tanto para uma partição diferente quanto a um disco diferente, sendo que, superficialmente, ambos serão apresentados e acessados da mesma forma pelo Windows.
Então a única forma de infecção de um disco diferente na máquina é através da cópia de um arquivo infectado?

**Black Panter** · 22-06-09 12:34

Qual desses é o melhor anti-virus?

--------------------------------------------------------------------------------

Avira Personal
G Data Total Care 2010
Norton 2009
Panda 2009 - Esse veio de graça c/ o roteador que eu comprei

Eu quero um eficiente principalmente contra malwares, adwares e rootkits. alem de um bom firewall. e que seja leve.

pra ser usado com o windows seven ou com o vista.

obrigado.

**Thais Clarisse** · 22-06-09 14:24

Olá Mr.Wolf,

Agora estou conseguindo usar o Hijackthis sim e fiz tudo do jeitinho que me passou antes.

Este foi o que o programa gerou:

Grata

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:23:32, on 22/6/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe
C:\Arquivos de programas\Google\Google Talk\googletalk.exe
C:\Arquivos de programas\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolb arNotifier.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe
C:\Arquivos de programas\MSN Messenger\usnsvc.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbserver.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orkut.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 198.198.87
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 10.198.87;164.4.*;local;138.103
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java" Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.d ll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Arquivos de programas\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe"
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicialização rápida do HP Image Zone.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Google Search - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFBAR.ICO
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra "Tools" menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
O14 - IERESET.INF: SEARCH_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
O14 - IERESET.INF: MS_START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/game...lugin11USA.cab
O16 - DPF: {77538FC7-CE52-4704-9865-494FE92BC320} (LaunchUBO.Ulit) - http://www.ultimatebaseballonline.co.../launchubo.OCX
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} (Groove Control) - http://atv.disney.go.com/global/down.../OTOYAX29b.cab
O16 - DPF: {7C5D062A-7A1E-4A46-A02B-A928084CBD66} (MLauncherNew Class) - http://legendofares.netgame.com/down...auncherNew.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/bon...loader_v10.cab
O20 - Winlogon Notify: logon - C:\
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\System32\igfxsrvc.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\bin\btwdins.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fb_inet_server .exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Serviço iPod (iPod Service) - Apple Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5253 bytes

**Primoit** · 22-06-09 14:32

Postado originalmente por Primoit

olá Mr.wolf

então aqui o Avira está acusando qse todos os .exe como Viking.as

ta ai o log do hijack

oq pode ser?

Mr.Wolf, vc esqueceu de mim

haha

----------------edit--------

Mr.Wolf, parece q aquele Infostealer voltou,

estou analizando com o Panda Active scan novamente
o Hijackthis não esta executando

ja ja eu posto o log do PandaActive2.0

Abraço

**lyraal** · 22-06-09 15:40

Bom dia, Mr. Wolf

Geralmente eu envio endereços de sites com virus, como o endereço abaixo, e ele acaba sendo derrubado alguns dias ou semanas depois. Porém, este falso endereço dos correios ainda continua de pé. Além de pedir automaticamente a instalção de um falso plugin, ainda conta com links para o virus.

*Os programas antivirus já detectam o virus.
**McAfee SiteAdvisor não considera o endereço completo por isso não barra tal endereço.
*** O Internet Explorer ainda permite o acesso mesmo após denúncia
**** O firefox já bloqueia

Código:

http://www.vacanca.com/bijou/.msg/flash_open.php?id=707156378900

**luisednardo** · 22-06-09 15:42

Olá Mr Wolf!!
Tudo bem com vc? Muita correria né?!
Mr Wolf, analisa esse log pra mim por favor!

Será que ainda tem alguma infecção grave?

**lyraal** · 22-06-09 15:55

Postado originalmente por Mr.Wolf

Olá pessoal, boa tarde a todos!
carolgsn, como eu lhe expliquei anteriormente, talvez somente uma reparação do Windows poderá sanar este seu problema com o diretivas de grupo (gpedit).

Peço que poste uma screen do erro com as atualizações amiga Carol.

Crie um arquivo.bat com o seguinte código para resetar tudo:
Vê se ajuda:

Código:

cd\
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

**DaYWaLKeR** · 22-06-09 16:52

Amigo MR.WOLF,

Já descobri oque era aquele 'atdmt do msn" é aquelas propagandas quando vc clica carrega esse site e direciona pro site da propaganda

Agora tó mais tranquilo

Obrigado!

**Tello** · 22-06-09 21:01

Olá Mr.. Depois de ter feito o passo com o Malwarebytes, aqui estão os logs do RSIT:

PC 01:
info.txt:

log.txt:

------------------------------------------------------------------------------------------

PC 02
info.txt:

log.txt:

E agora Mr., qual o próximo passo?

Obrigado!

**lukox** · 22-06-09 21:43

HijackThis \/

Logfile of HijackThis v1.99.1
Scan saved at 21:42:47, on 22/6/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 9.exe
C:\Arquivos de programas\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\ARQUIV~1\ASSIST~1\SMARTB~1\MotiveSB.exe
c:\Arquivos de programas\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolb arNotifier.exe
C:\Arquivos de programas\Skype\Phone\Skype.exe
C:\Arquivos de programas\MSN Messenger\msnmsgr.exe
C:\Arquivos de programas\Assistente Tecnico Speedy\bin\mad.exe
C:\ARQUIV~1\Motive\ASSTCO~1\MOTIVE~1.EXE
C:\Arquivos de programas\Assistente Tecnico Speedy\bin\mpbtn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Arquivos de programas\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.1.1309.35 72\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Arquivos de programas\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll (file missing)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 9.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Arquivos de programas\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Motive SmartBridge] "C:\ARQUIV~1\ASSIST~1\SMARTB~1\MotiveSB.exe" /restart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolb arNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Assistente Tecnico Speedy.lnk = C:\Arquivos de programas\Assistente Tecnico Speedy\bin\matcli.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/.../GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44BC92C3-4150-409E-B047-0FA0491523CB}: NameServer = 200.204.0.10 200.204.0.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{49900B58-C59B-4F42-B7C7-75E2D1051CD1}: NameServer = 200.204.0.10,200.204.0.138
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Arquivos de programas\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

ComboFix : \/

ComboFix 09-06-20.02 - Dorival 22/06/2009 21:28.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.479.85 [GMT -3:00]
Executando de: c:\documents and settings\Dorival\Desktop\ComboFix.exe
Comandos utilizados :: c:\documents and settings\Dorival\Desktop\CFScript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"C:\pipe11.dat"
.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))) )
.

c:\arquivos de programas\AskBarDis
c:\arquivos de programas\AskBarDis\bar\bin\askBar.dll
c:\arquivos de programas\AskBarDis\bar\bin\askPopStp.dll
c:\arquivos de programas\AskBarDis\bar\bin\AskService.exe
c:\arquivos de programas\AskBarDis\bar\bin\AskSplash.exe
c:\arquivos de programas\AskBarDis\bar\bin\AskTBApp.exe
c:\arquivos de programas\AskBarDis\bar\bin\ASKUpgrade.exe
c:\arquivos de programas\AskBarDis\bar\bin\psvince.dll
c:\arquivos de programas\AskBarDis\bar\Cache\0143E25E
c:\arquivos de programas\AskBarDis\bar\Cache\0143E7BD
c:\arquivos de programas\AskBarDis\bar\Cache\0143EA7C.bin
c:\arquivos de programas\AskBarDis\bar\Cache\0143EE83.bin
c:\arquivos de programas\AskBarDis\bar\Cache\0143F019.bin
c:\arquivos de programas\AskBarDis\bar\Cache\0143F21D.bin
c:\arquivos de programas\AskBarDis\bar\Cache\0143F45F.bin
c:\arquivos de programas\AskBarDis\bar\Cache\0143F5B7.bin
c:\arquivos de programas\AskBarDis\bar\Cache\0143F76C.bin
c:\arquivos de programas\AskBarDis\bar\Cache\files.ini
c:\arquivos de programas\AskBarDis\bar\History\search
c:\arquivos de programas\AskBarDis\bar\Settings\AskLogo.ico
c:\arquivos de programas\AskBarDis\bar\Settings\config.dat
c:\arquivos de programas\AskBarDis\bar\Settings\config.dat.bak
c:\arquivos de programas\AskBarDis\bar\Settings\prevcfg.htm
c:\arquivos de programas\AskBarDis\bar\Settings\prevCfg2.htm
c:\arquivos de programas\AskBarDis\unins000.dat
c:\arquivos de programas\AskBarDis\unins000.exe
C:\pipe11.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASKSERVICE
-------\Legacy_ASKUPGRADE
-------\Service_ASKService
-------\Service_ASKUpgrade

(((((((((((((((( Arquivos/Ficheiros criados de 2009-05-23 to 2009-06-23 ))))))))))))))))))))))))))))
.

2009-06-20 22:08 . 2009-06-20 22:09 -------- dc----w- C:\Crackers Elf
2009-06-20 21:55 . 2009-06-20 21:55 -------- dc----w- C:\32788R22FWJFW.0.tmp
2009-06-18 15:16 . 2009-06-18 15:18 -------- d-----w- c:\arquivos de programas\TibiaBot Ng 8.41
2009-06-14 07:08 . 2009-06-14 07:09 -------- d-----w- c:\arquivos de programas\tibia 8.41
2009-06-14 00:40 . 2009-06-14 00:51 -------- d-----w- c:\arquivos de programas\Arquivos comuns\DVDVideoSoft
2009-06-12 20:15 . 2009-06-12 20:15 -------- d-----w- c:\documents and settings\cliente\Dados de aplicativos
2009-06-12 20:15 . 2009-06-12 20:15 -------- d-----w- c:\documents and settings\cliente
2009-06-12 18:26 . 2009-06-12 18:26 -------- d-----w- c:\documents and settings\Dorival\Dados de aplicativos\TeamViewer
2009-06-12 18:26 . 2009-06-12 18:30 -------- d-----w- c:\arquivos de programas\TeamViewer
2009-06-12 18:24 . 2009-06-12 18:24 -------- d-----w- c:\documents and settings\Dorival\temp
2009-06-11 22:54 . 2009-06-20 15:02 -------- d-----w- c:\documents and settings\Dorival\Dados de aplicativos\Tibia
2009-06-08 16:38 . 2009-06-08 16:38 -------- d-----w- c:\arquivos de programas\TibiaBot Ng 8.40
2009-06-06 18:11 . 2009-06-06 18:15 -------- d-----w- c:\arquivos de programas\StarEvolution
2009-06-01 01:30 . 2009-06-01 01:30 15256 ----a-w- c:\documents and settings\Dorival\Dados de aplicativos\Microsoft\IdentityCRL\PROD\ppcrlconfig .dll
2009-05-29 19:05 . 2009-06-22 16:18 -------- dc----w- C:\tibia videos
2009-05-29 18:44 . 2009-05-29 18:58 -------- d-----w- c:\arquivos de programas\TibiaCam TV Lite

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-06-22 11:23 . 2009-05-04 11:29 -------- d-----w- c:\arquivos de programas\Tibia 8.42
2009-06-20 21:51 . 2008-10-14 10:32 -------- d-----w- c:\arquivos de programas\Windows Live
2009-06-12 20:20 . 2007-02-10 01:20 -------- d-----r- c:\arquivos de programas\Tibia 8.40
2009-06-11 06:47 . 2007-04-12 23:13 -------- d-----w- c:\documents and settings\Dorival\Dados de aplicativos\teamspeak2
2009-06-09 22:17 . 2007-02-06 17:36 -------- d-----r- c:\arquivos de programas\MSN Messenger
2009-06-09 20:20 . 2008-10-14 10:32 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\WLInstaller
2009-06-06 17:02 . 2007-04-08 22:07 -------- d-----w- c:\arquivos de programas\Lavasoft
2009-06-06 17:02 . 2007-04-08 22:07 -------- d-----w- c:\documents and settings\Dorival\Dados de aplicativos\Lavasoft
2009-05-31 02:41 . 2009-05-14 03:05 -------- d-----w- c:\arquivos de programas\TibiaBot NG 8.31
2009-05-30 15:38 . 2008-12-14 20:39 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-07 15:33 . 2004-08-04 03:45 347136 ----a-w- c:\windows\system32\localspl.dll
2009-05-05 18:09 . 2009-03-16 03:44 -------- d-----w- c:\arquivos de programas\tibia istaladores
2009-05-02 16:27 . 2003-03-30 14:06 84802 ----a-w- c:\windows\system32\perfc016.dat
2009-05-02 16:27 . 2003-03-30 14:06 483048 ----a-w- c:\windows\system32\perfh016.dat
2009-04-29 04:45 . 2004-08-04 03:45 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2004-08-04 03:45 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-04-24 03:48 . 2009-04-24 03:48 1728887 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Avira\AntiVir PersonalEdition Classic\UPDATE\AVUPDATE_49f13314\ave2\aeheur.dll
2009-04-24 03:48 . 2009-04-24 03:48 348532 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Avira\AntiVir PersonalEdition Classic\UPDATE\AVUPDATE_49f13314\ave2\aegen.dll
2009-04-21 14:23 . 2009-04-21 14:23 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-04-19 19:50 . 2004-08-04 03:38 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:53 . 2004-08-04 03:45 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2009-04-11 05:54 . 2009-05-14 01:44 36864 ----a-w- c:\windows\mscomdlg.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-06-20_22.01.27 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-23 00:36 . 2009-06-23 00:36 16384 c:\windows\temp\Perflib_Perfdata_1dc.dat
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolb arNotifier.exe" [2008-11-18 68856]
"Skype"="c:\arquivos de programas\Skype\Phone\Skype.exe" [2009-03-27 24103720]
"msnmsgr"="c:\arquivos de programas\MSN Messenger\msnmsgr.exe" [2005-09-19 7083056]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"RemoteControl"="c:\arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86 \3\hpztsb09.exe" [2006-01-13 176128]
"NvMediaCenter"="c:\windows\system32\NvMcTray. dll" [2006-10-22 86016]
"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 49263]
"Share-to-Web Namespace Daemon"="c:\arquivos de programas\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 69632]
"avgnt"="c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Motive SmartBridge"="c:\arquiv~1\ASSIST~1\SMARTB~1\Motive SB.exe" [2005-04-15 397312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\
Assistente Tecnico Speedy.lnk - c:\arquivos de programas\Assistente Tecnico Speedy\bin\matcli.exe [2009-4-7 217088]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Assistente Tecnico Speedy.lnk]
path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Assistente Tecnico Speedy.lnk
backup=c:\windows\pss\Assistente Tecnico Speedy.lnkCommon Startup

[HKLM\~\startupfolder\^ntuser.dat]
path=\ntuser.dat
backup=c:\windows\pss\ntuser.datCommon Startup

[HKLM\~\startupfolder\^ntuser.dat.LOG]
path=\ntuser.dat.LOG
backup=c:\windows\pss\ntuser.dat.LOGCommon Startup

[HKLM\~\startupfolder\^ntuser.ini]
path=\ntuser.ini
backup=c:\windows\pss\ntuser.iniCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"c:\\Arquivos de programas\\Ventrilo\\Ventrilo.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Arquivos de programas\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=
"c:\\Arquivos de programas\\Mozilla Firefox\\firefox.exe"=
"c:\\Arquivos de programas\\Tibia 8.42\\Tibia\\Tibia.exe"=
"c:\\Arquivos de programas\\Tibia 8.31\\Tibia.exe"=
"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=
"c:\\Documents and Settings\\Dorival\\Desktop\\ElfBot 4.40 crackeado\\navserv.exe"=
"c:\\Documents and Settings\\Dorival\\Desktop\\ElfBot NG 8.41\\navserv.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 SASDIFSV;SASDIFSV;c:\arquivos de programas\Cópia de SUPERAntiSpyware\sasdifsv.sys [24/9/2007 15:09 5632]
R1 SASKUTIL;SASKUTIL;c:\arquivos de programas\Cópia de SUPERAntiSpyware\SASKUTIL.SYS [24/9/2007 15:09 32256]
S3 SASENUM;SASENUM;c:\arquivos de programas\Cópia de SUPERAntiSpyware\SASENUM.SYS [24/9/2007 15:09 4096]
.
- - - - ORFÃOS REMOVIDOS - - - -

BHO-{201f27d4-3704-41d6-89c1-aa35e39143ed} - c:\arquivos de programas\AskBarDis\bar\bin\askBar.dll

.
------- Scan Suplementar -------
.
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {44BC92C3-4150-409E-B047-0FA0491523CB} = 200.204.0.10 200.204.0.138
TCP: {49900B58-C59B-4F42-B7C7-75E2D1051CD1} = 200.204.0.10,200.204.0.138
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath -

---- FIREFOX POLICIES ----
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-06-22 21:35
Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

************************************************** ************************
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Installer\UserData\LocalSystem\Componen ts\Ø•€|ÿÿÿÿ•€|ù•6~*]
"6140110900063D11C8EF10054038389C"="C?\\WINDOWS\\s ystem32\\FM20ENU.DLL"
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(440)
c:\arquiv~1\ASSIST~1\SMARTB~1\SBHook.dll
c:\arquiv~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Outros Processos em Execução ------------------------
.
c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\arquivos de programas\Assistente Tecnico Speedy\SmartBridge\MotiveSB.exe
c:\arquivos de programas\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
c:\arquivos de programas\Assistente Tecnico Speedy\bin\mad.exe
c:\arquivos de programas\Motive\AsstCommon\MotiveDirectory.exe
c:\arquivos de programas\Assistente Tecnico Speedy\bin\mpbtn.exe
.
************************************************** ************************
.
Tempo para conclusão: 2009-06-23 21:38 - Máquina reiniciou
ComboFix-quarantined-files.txt 2009-06-23 00:38
ComboFix2.txt 2009-06-20 22:03

Pré-execução: 17 pasta(s) 58.914.836.480 bytes disponíveis
Pós execução: 17 pasta(s) 58.834.698.240 bytes disponíveis

202 --- E O F --- 2009-06-11 06:13

**|St1ng3r|** · 22-06-09 22:25

Postado originalmente por Mr.Wolf

É bom lembrar também que os cracker gostam de explorar notícias e acontecimentos novos para disseminarem suas pragas. Pois como todos ficam curiosos para ler ou ver algo anexado no e-mail, é aí que somos pegos de surpresa. Este falso e-mail da Air France pegou mais de dois mil usuário em apenas três dias.

Com certeza isso é oq mais tem. Esses safados se aproveitam da falta de informação dos usuários e atiçam um dos sentimentos mais perigosos da humanidade, a curiosidade.
Uma combinação fatal.

Postado originalmente por Mr.Wolf

E é o que está acontecendo faz tempo já, caro amigo |St1ng3r|. Já que tocou neste assunto, gostaria de mostrar uma figura que gosto bastante, e acho muito inteligente. Veja:

Esta simples figura mostra claramente a realidade vivida hoje.
Hoje o malware se especializou em driblar os softwares de segurança regulares, como antivirus e anti-spyware. Por isso as ferramentas standalones, inclusive as desenvolvidas pelos membros das comunidades da ASAP/UNITE são tão eficientes, pois focam diretamente na remoção da infecção.

Vendo que, nem mesmo antivirus pagos estão dando conta do recado. A cada dia são criadas novas variantes dos vírus, muito mais complexas do que imaginamos. E as empresas antivirus não estão conseguindo acompanhar. Antigamente o avanço não era tanto, pois levava dias e dias para uma nova variante ser disseminada e, não era tão avançada e complexa quanto as de hoje. Mas isso já esperávamos na verdade. Um exemplo clássico que sempre digo aqui no tópico é o famoso, temido e árduo Rootkit Russo. Até hoje não descobrimos nada sobre este vírus, e olha que ele foi disseminado pela primeira vez em março de 2006. O vírus é tão avançado que consegue desinstalar qualquer produto antivirus que esteja instalado na máquina e camuflar-se em menos de três minutos não sendo mais possível detectá-lo por qualquer ferramentas que seja. Simplesmente, pegou um Rootkit Russo, formate o disco! Infelizmente não há outra saída, não existe ferramenta/programa de remoção para este vírus. Seja ComboFix, Kaspersky, NOD32, Norton 2009, Avira AntiVir Premium, G-DATA, Malwarebytes, PrevX, ThreatFire ou qualquer outro software conceituado no mercado atualmente. Para a sorte de nós brasileiros é que este vírus não é comum por aqui. Já na América do Norte, Europa e Ásia sofrem bastante com ele. Sei disso porque também participo de fóruns destes continentes.

Muito bom o desenho

Isso é que é triste. Desde a época que eu participava ativo nesse tópico você falava desses rootkit russo. E até agora (meses depois) não há solução para essa praga.
Vc diz que ele não é comum aqui e somente no exterior. Como que é a forma de "propagação" desse tipo de vírus para ele ter essas localizações tão específicas? É e-mail phishing também como aqui no Brasil ?

Postado originalmente por Mr.Wolf

Em partes concordo com você, |St1ng3r|. A maioria destes cracker são realmente inteligentíssimos e muito estudiosos, chega a ser até uma coisa doentia o tanto que este pessoal estuda somente para dar golpes e fazer roubos virtuais.
Mas na época em que eu fazia pós-graduação em Segurança da Informação, fizemos muitas entrevistas e pesquisas sobre a vida de muitos crackers/hackers, inclusive "ex-crackers" (hoje estes utilizam seus conhecimentos para ajudar). E por relatos deles mesmo percebi que nem todos são "nerds" como pensamos. Estes bankerzinhos disseminados em Orkut e MSN geralmente são criados por lemmers desocupados que querem descobrir senhas de seus(as) ex-namorados, rivais, amigos, etc... e através destes bankerzinhos, ridículos, diga-se de passagem, podem se transormar em grandes bankers trabalhosos. Muitos crackers experientes por aí gostam de aproveitar simples pragas para deixá-la mais avançada. Pois o raciocínio deles é óbvio e inteligente: Como o malware já está formado (digamos assim), e são muitos os usuários de MSN e Orkut, deixá-lo mais avançado é uma coisa fácil demais e disseminar um vírus nestes locais onde grande parte dos usuários de Internet frequentam se torna uma tarefa no mínimo produtiva.

Entendi.
A matéria prima já está pronta, eles só aperfeiçoam para suas determinadas necessidades. Não criam nada do zero como muitos imaginam.

Postado originalmente por Mr.Wolf

Exatamente |St1ng3r|. O ideal é verificar primeiramente o computador servidor. Depois verificar de máquina em máquina mesmo.
Mas isso somente caso for um Worm.

Se quiser posso lhe ajudar. Mas pelo log do HijackThis não será possível, vendo que, o log mesmo contem entradas ocultas.

Não é necessário mestre, iria dar um trabalho enorme, pois aqui são muitas máquinas.
Mas vou ficar atento aqui a qualquer comportamento estranho.

Postado originalmente por Mr.Wolf

Opa amigo |St1ng3r|, claro que pode.

Não precisa nem pedir uma coisa dessas. Fique totalmente a vontade para tal.

Abraços

Oba

Aqui está:

PS:
Um fato curioso aconteceu hoje, antes de eu formatar o computador.

Eu abri o site do bb só para ver pela ultima vez a página falsa, por bobeira mesmo.. so para ver se o cracker tinha atualizado ou algo assim. E não é que me abre a página orginal do bb.
Sim, exatamente. Sem eu fazer absolutamente nada, não passei nenhum tipo de ferramenta ou scan. Simplesmente estava lá a página verdadeira. Eu conferi tudo, os endereços, o https, o cadeado, tava tudo lá; botei inclusive valores inventados para ver se aceitava, e não aceitou, deu erro mesmo, ou seja a página era mesmo a verdadeira.
Ai eu te pergunto mestre, isso é comum? Esses phishing se ativarem aleatoriamente? Ou será que a praga após "coletar" meus dados, se "escondeu" novamente, para voltar mais tarde, ou talvez até mesmo para criar um phishing de outro site.

E durante esse tempo, eu passei o HijackThis e a praga ainda estava lá na minha pasta temp.

"O4 - HKLM\..\Run: [JavaPlugin] C:\DOCUME~1\rafaels\CONFIG~1\Temp\taskmgrs.exe"

Bem, o fato é que eu não paguei pra ver e dei adeus para aquele sistema

**Black Panter** · 22-06-09 23:58

Caro Mr Wolf,

poderia por gentileza dizer se o meu pc esta infectado e em caso positivo o que devo fazer. uso o norton 2009 como anti-virus.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:55:27, on 22/6/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Arquivos de programas\Internet Download Manager\IDMan.exe
D:\Arquivos de programas\NitroPC\NitroPC.exe
C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolb arNotifier.exe
C:\Arquivos de programas\PoivY.com\PoivY\PoivY.exe
C:\Arquivos de programas\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Documents and Settings\Ildo\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe
C:\Documents and Settings\All Users\Dados de aplicativos\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Arquivos de programas\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Documents and Settings\Ildo\Configurações locais\Temp\_AZTMP3_\Exec\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Arquivos de programas\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Arquivos de programas\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Arquivos de programas\Norton Internet Security\Engine\16.5.0.135\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\3.1.807.174 6\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.d ll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Arquivos de programas\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] D:\Arquivos de programas\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [NitroPC] "D:\Arquivos de programas\NitroPC\NitroPC.exe" -minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolb arNotifier.exe
O4 - HKCU\..\Run: [PoivY] "C:\Arquivos de programas\PoivY.com\PoivY\PoivY.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Arquivos de programas\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Ildo\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Arquivos de programas\Arquivos comuns\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - D:\Arquivos de programas\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - D:\Arquivos de programas\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - D:\Arquivos de programas\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanage...ex-2.2.4.8.cab
O16 - DPF: {60541D7A-4EF1-4117-9607-7C1B0EEAAD18} (Image Uploader Control) - http://iu.ak.sonico.com//ImageUploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Arquivos de programas\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O23 - Service: Box_NTR v2.6A (.bntr) - Unknown owner - C:\Documents and Settings\All Users\Dados de aplicativos\Norton\bntr.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Dados de aplicativos\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Arquivos de programas\Arquivos comuns\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Arquivos de programas\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Arquivos de programas\Arquivos comuns\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9153 bytes

**Johnn Y** · 23-06-09 00:02

Log do Avenger
O Kaspersky indica um Cavalo de Tróia no arquivo C:\cleanup.exe logo ao executar a ação do Avenger.

**Mr.Wolf** · 23-06-09 15:13

Olá pessoal, boa tarde a todos!

Para não fazer confusão no tópico e dificultar a leitura das respostas, responderei aos logs em apenas um post e as outras questões em um outro post, até mesmo para não floodar, ok.

Neste post responderei aos logs por ordem das postagens.

Amiga Thais Clarisse, vamos limpar as DLLs infectadas agora, pois o stubborn infectou três. Peço que anote estes procedimentos no Bloco de Notas, Word, Wordpad ou qualquer outro local que seja de fácil acesso, pois será necessário fechar o navegador e desativar temporariamente seu antivirus Avira. Siga o procedimento no spoiler abaixo:

__________________________________

Primoit, desculpe a distração. Realmente pulei, sem perceber, seu post.

Já que trata-se do InfoStealer, recomendo o uso não só do Panda Active Scan, mas também do Kaspersky Removal Tool, Primoit.

__________________________________

luisednardo, seu problema é com um Worm chamado SpyBot (não, não tem relação alguma com o anti-spyware Spybot Search & Destroy). Esta infecção: C:\WINDOWS\system32\csrcs.exe.
Worm que aliás está comum de ser ver nos logs que você está postando aqui de uns tempos pra cá, luisednardo. Se este PC estiver em rede, desconecte-o.

__________________________________

Tello, os logs do PC 01 estão limpos. Já os do PC 02 continuam infectados.

Entretanto, amigo Tello, uma recomendação: Sugiro que troque o antivirus AVG instalado nas máquinas. Pois a empresa está com um banco de dados completamente fraco, ultimamente. Várias vacinas de virus que enviamos, à exatamente um mês, para a Grisoft, a empresa não se deu o trabalho de adicionar na database do antivirus. Atualizações essas, essenciais e importantes para uma boa proteção do antivirus. Portanto, digo que literalmente, o AVG está desatualizado!
Se aceitar uma sugestão de antivirus free, recomendo o Avira AntiVir 9 ou, se preferir, o Avast! Home Edition. Estes dois freewares estão regularmente atualizados com as devidas vacinas enviadas.

Siga as instruções abaixo somente para o PC 02, Tello:

__________________________________

lukox, execute o HijackThis, clique em Do a system scan only, marque essas três entradas no log e clique no botão Fix checked:

R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll (file missing)

Clique em Sim na mensagem.

Vá em Iniciar > Executar, digite ComboFix /u e dê um Ok para remover a ferramenta.

Os logs estão limpos lukox

__________________________________

|St1ng3r|, seu log está totalmente limpo amigo

Nem entradas ocultas e nem indeterminadas.

Ocorre algo de anormal no sistema?

__________________________________

Black Panter, execute o HijackThis, clique em Do a system scan only, marque as duas entradas abaixo no log e clique no botão Fix checked:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)

Clique em Sim na mensagem.

Reinicie o PC e poste um novo log do HijackThis, amigo Black Panter.

__________________________________

Johnn Y, poste um novo log do HijackThis.

**Mr.Wolf** · 23-06-09 15:18

Postado originalmente por Tello

Mr., duas perguntas:
-é possível um vírus infectar um mp3 ou mp4 player? Digo, sei que é possível salvar arquivos infectados, mas dá pro vírus estragar o player de alguma forma?

Amigo Tello, como disse ao amigo |St1ng3r|, qualquer tipo de dispositivo removível pode ser infectado, seja MP3, MP4, MP9, pen drive, celular, HD externo, cartão de memória, etc...

Um vírus estragar o aparelho ao ponto de torná-lo inutilizável é impossível, pelo menos até hoje nunca vi algo assim acontecer. O máximo que um vírus pode fazer à um dispositivo removível é bloqueá-lo contra gravação, ou seja, o usuário não consegue colocar, apagar, alterar nada e nem formatar seu dispositivo. Mas isso é uma chave maliciosa que o vírus cria com permissões no próprio registro do Windows e, bastando removê-la (através de ferramentas específicas, pois remover 'na mão' é impossível), o vírus não consegue mais bloquear o dispositivo.

Postado originalmente por Tello

-vi o caso do amigo |St1ng3r| e pensei em uma coisa: coisas do tipo bankline, como transfers. pagtos de contas etc., se feitos num Linux (Ubuntu no meu caso) é tranquilo ou tem como ocorrer o phishing tbm??

Tello, ao contrário do que muitos pensam, existem vários vírus que afetam plataformas Unix - também conhecidos como scripts maliciosos - como o descendente mais conhecido, o GNU/Linux. Porém, nenhum dos vírus escritos para essa plataforma conseguiu atingir seu objetivo, ou seja, infectar o sistema a fim de prejudicá-lo, de forma eficaz.

Tem como sim um ataque de phishing ocorrer no Linux, com chances mínimas e muito menores do que no Windows, mas que existe essa possibilidade existe, ninguém pode negar. Afinal também sou usuário nato de Linux. Agora por que as chances são mínimas? Explico. Vírus são programas que necessitam mudar a estrutura de outros programas para poder prejudicar o sistema. Esses atacariam arquivos de importância para o funcionamento adequado do sistema e, quando esse vírus é executado como usuário normal, não obterá efeito algum devido ao poderoso sistema de permissões de arquivos do Linux, já que para que se possa alterar estes arquivos é necessário executá-lo como super usuário (root), o sistema acaba ficando imune aos vírus.
Portanto, concluo que não é aconselhável o uso do GNU/Linux em modo de super usuário, pois a possibilidade de um vírus infectar o sistema é alta, enquanto como usuário normal esse risco é nulo. Sendo assim não é necessário o uso de um antivírus para Linux e ataques de phishing são praticamente impossíveis de serem bem sucedidos.

Entretanto, mesmo tendo um Linux como sistema principal, há um cuidado muito grande à ser tomado também, referente às famosas falsas atualizações de segurança - o que não deixa de ser um phishing - pedindo ao usuário que baixe patchs para concluir algo ou iniciar algo. Isso me faz lembrar o famoso vírus Bliss (vírus de Linux):
http://en.wikipedia.org/wiki/Bliss_(virus)

Lembrando que, malwares que infectam Windows costumam tirar partidos de falhas de segurança do Internet Explorer, dos serviços ou outros programas. Já vírus que comprometem o Linux dependem de engenharia social e não de falhas no sistema operacional em si.

Resumindo, pode ocorrer phishings em Linux sim. Mas as possibilidades disso acontecer são mínimas.

__________________________________________________ ________

Postado originalmente por Gustavo MPO

Olá Mr.Wolf, td bem?
Há um bom tempo que não posto aqui, andei ocupado demais com estudos esse semestre e fiquei sem tempo para mais absolutamente nada. Agora de férias, já da para voltar um pouquinho no que era antes...

Olá amigo Gustavo MPO, você realmente sumiu amigo! Espero que volte mesmo a postar bastante aqui, pois é um prazer.

Postado originalmente por Gustavo MPO

Bom, vendo seu post acima pintou uma dúvida.
Sempre pensei que a mesma "regra" se aplicasse tanto para uma partição diferente quanto a um disco diferente, sendo que, superficialmente, ambos serão apresentados e acessados da mesma forma pelo Windows.
Então a única forma de infecção de um disco diferente na máquina é através da cópia de um arquivo infectado?

Bom, essa questão já foi discutida em vários fóruns de segurança, tanto brasileiros quanto americanos, ingleses, russos, franceses, entre outros... e através de testes chegamos a conclusão de que isso não é mais possível. Sim, antes realmente havia possibilidade de infectar um segundo disco limpo inserido no PC, hoje não ocorre mais.
Pois depende da praga digital, Gustavo. Por exemplo: As pragas que fazem uso de outros arquivos para se espalharem (como era o caso dos antigos vírus de macro do Word) podem infectar, sem problema algum, os conteúdos do segundo disco. Porém, vírus assim são raríssimos hoje, diria que não existem mais mesmo.

Então volto a dizer que somente com uma transferência de arquivos que é possível infectar o outro HD, hoje em dia.

Há tempos atrás existia também o temido e desastroso Chernobyl ou CIH (creio que já ouviu falar deste virus). O CIH apagava a BIOS, por este fato o PC não funcionava corretamente e a placa-mãe em muitos casos era dada como morta. Diziam naquela época que, o CIH poderia danificar qualquer disco de terceiros inserido na máquina, ou seja, um segundo HD limpo, sem a necessidade de uma transferência de arquivos.
Mas após muitos testes feitos, o que demorou muito pois naquela época não tinhamos ainda os recursos que temos hoje, diagnosticamos que não era verdade esse boato. E realmente não é.

Portanto, hoje em dia, infectar um segundo HD não é mais possível, sem transferir arquivos infectados.

__________________________________________________ ___________

Postado originalmente por Black Panter

Qual desses é o melhor anti-virus?

--------------------------------------------------------------------------------

Avira Personal
G Data Total Care 2010
Norton 2009
Panda 2009 - Esse veio de graça c/ o roteador que eu comprei

Eu quero um eficiente principalmente contra malwares, adwares e rootkits. alem de um bom firewall. e que seja leve.

pra ser usado com o windows seven ou com o vista.

obrigado.

Olá Black Panter, se formos analisar por questões de leveza, Norton 2009 e Avira ganham disparados de Panda e G-DATA. Agora em questão do melhor, o G-DATA ganha. Aliás, o G-DATA está praticamente no mesmo nível de Kaspersky e NOD32 que são os melhores do mercado.
Mas como você quer um destes quatro para usar no Seven ou Vista, recomendo o Avira ou Norton 2009. A vantagem do Norton sobre o Avira é a taxa de falso-positivo que é bem menor do que a do Avira, engine e o banco de dados que é um pouco mais extenso também.

__________________________________________________ _________

Postado originalmente por lyraal

Bom dia, Mr. Wolf

Geralmente eu envio endereços de sites com virus, como o endereço abaixo, e ele acaba sendo derrubado alguns dias ou semanas depois. Porém, este falso endereço dos correios ainda continua de pé. Além de pedir automaticamente a instalção de um falso plugin, ainda conta com links para o virus.

*Os programas antivirus já detectam o virus.
**McAfee SiteAdvisor não considera o endereço completo por isso não barra tal endereço.
*** O Internet Explorer ainda permite o acesso mesmo após denúncia
**** O firefox já bloqueia

Código:

http://www.vacanca.com/bijou/.msg/flash_open.php?id=707156378900

Olá lyraal, obrigado pelo report. Analisarei o site e o derrubaremos ao constatar infecção.

Se não me engano, já fizeram um report desse site para nós lá no Linha Defensiva, não se foi você quem o fez.

Obrigado novamente amigo lyraal.

__________________________________________________ __________

Postado originalmente por |St1ng3r|

Com certeza isso é oq mais tem. Esses safados se aproveitam da falta de informação dos usuários e atiçam um dos sentimentos mais perigosos da humanidade, a curiosidade.
Uma combinação fatal.

Exato, |St1ng3r|.

A principal arma que um cracker possui não é sua praga digital. Mas sim essa: "A curiosidade da vítima". O resto é consequência.
Como todo ser humano é, quem não quer ver uma novidade?! Ainda mais se esta novidade for uma coisa que não foi revelada na mídia ou na Internet ainda, como fotos do acidente da Air France, por exemplo. Com certeza a pessoa ficará com uma secura imensa de abrir o anexo do e-mail, ou de algum site. É aí que somos pegos.

Postado originalmente por |St1ng3r|

Isso é que é triste. Desde a época que eu participava ativo nesse tópico você falava desses rootkit russo. E até agora (meses depois) não há solução para essa praga.
Vc diz que ele não é comum aqui e somente no exterior. Como que é a forma de "propagação" desse tipo de vírus para ele ter essas localizações tão específicas? É e-mail phishing também como aqui no Brasil ?

O Rootkit Russo possui uma técnica completamente própria, onde somente esta praga a possui. A técnica utilizada é o que chamamos de @<03544>= (é uma frase em russo, significa ARMAGEDON). O que ela faz especificamente? Simples. Dá a opção para o cracker escrever onde o vírus irá infectar, ou seja, qual continente, qual país, qual cidade, até mesmo o CEP da cidade pode ser inserido no código-fonte desta praga, qual tipo de rede, qual tipo de OS (Windows ou Linux), etc. O cracker também coloca um IP anônimo no vírus através desta técnica, o IP é exatamente este: 000.000.000-0. Você me perguntará: "Mas o que é isso? Isso não vale nada!"
Respondo: É aí que nos enganamos. Este IP totalmente estranho inserido no código do Rootkit Russo simplesmente faz com que a praga procure por IPs vulneráveis através de bots russos. Ou seja, sabe aqueles famosos bots que capturam endereços de e-mails por aí? Exatamente eles. Porém, este serve para capturar IPs vulneráveis. O que seria um IP vulnerável? Aquele 'velho' usuário que gosta de entrar em qualquer tipo de site estrangeiro que vê pela frente. Se o usuário acessar a um site onde possui um bot russo, pronto! Já bastou para você ter seu IP roubado e completamente alterado para um IP designado pelo criador da praga, onde, seu firewall será desativado e seu sistema estará recebendo informações maliciosas de servidores maliciosos criados pelo cracker a todo momento. E de "brinde" você ganha o Rootkit Russo para acabar literalmente com todo seu sistema.
Isto é a resposta do porquê do vírus ter locais específicos para atacar, somente por causa da técnica utilizada nele.

Mas ainda tem mais, não é somente pelos fatores acima que podemos nos infectar por um Rootkit Russo. Este vírus pode ser disseminado também através de cracks, keygens ou outro tipo de programa hospedado em sites estrangeiros; Um Trojan.Downloader pode baixá-lo para a máquina, se for o Downloader.Agent.byij pior ainda, pois este vírus também é de origem russa e presumimos que seja do mesmo criador do Rootkit Russo; E o último modo de propagação que conhecemos deste rootkit é através de falsas atualizações de segurança para o browser - em especial Internet Explorer e Mozilla Firefox.

Infelizmente não posso lhe dar mais informações sobre este vírus porque realmente não sei, aliás, não sabemos mais absolutamente nada sobre o mesmo. Até hoje as informações que temos são escassas, o máximo de informação que conseguimos foram estas que lhe passei acima, sobre suas técnicas (@<03544>=). E algumas informações de algumas atividades provocadas pelo rootkit na máquina.

Mas digo que é uma das piores, senão a pior, praga dos últimos tempos. E digo mais, se esta praga se tornar comum aqui no Brasil também estamos perdidos! Até hoje no Brasil houve apenas vinte casos de usuários infectados por este rootkit. Já no exterior, mais especificamente nos EUA e Rússia, o número de usuários infectados pela praga passa da casa dos milhões. Lamentavelmente.
E o número de sucesso na remoção desta praga é simplesmente ZERO! Nenhum perito ou cientista em informátca até hoje conseguiu ter o privilégio, a honra de remover esta praga do computador. A única ferramenta que pode removê-la chama-se: Format C: - pelo menos (ou por enquanto), pois não sabemos o rumo disso, esta ferramenta ainda é eficaz em qualquer caso.

Postado originalmente por |St1ng3r|

PS:
Um fato curioso aconteceu hoje, antes de eu formatar o computador.

Eu abri o site do bb só para ver pela ultima vez a página falsa, por bobeira mesmo.. so para ver se o cracker tinha atualizado ou algo assim. E não é que me abre a página orginal do bb.
Sim, exatamente. Sem eu fazer absolutamente nada, não passei nenhum tipo de ferramenta ou scan. Simplesmente estava lá a página verdadeira. Eu conferi tudo, os endereços, o https, o cadeado, tava tudo lá; botei inclusive valores inventados para ver se aceitava, e não aceitou, deu erro mesmo, ou seja a página era mesmo a verdadeira.

Felizmente derrubamos o falso site |St1ng3r|. No dia em que você reportou seu caso aqui, imediatamente entrei com uma providência e conseguimos, aparentemente, derrubar o falso phishing do BB. Isso pode ser temporário pois este phishing pode ser refeito a qualquer instante, não só este mas qualquer um.

Postado originalmente por |St1ng3r|

Ai eu te pergunto mestre, isso é comum? Esses phishing se ativarem aleatoriamente? Ou será que a praga após "coletar" meus dados, se "escondeu" novamente, para voltar mais tarde, ou talvez até mesmo para criar um phishing de outro site.

Bankers não se "escondem" assim, amigo |St1ng3r|. Na verdade eles ficam naquela "mesmice" até que o site seja derrubado ou saia do ar naturalmente. Em alguns casos, após o banker ter sequestrado todas as suas informações, fazem com que o site gere a famosa mensagem: "Endereço não encontrado", pois claro, o cracker já possui o que quer - seus dados pessoais - este tipo de banker é chamado de InfoStealer. Os InfoStealers funcionam como uma sequência lógica, ou seja, puro algorítmo: Induzir -> Infectar -> Roubar -> Desativar. E assim consecutivamente.
Mas veja bem, o 'desativar' que eu disse, não quer dizer que o banker nunca mais fará nada e se "auto removerá" da máquina. Pelo contrário, ele permanece "desacordado" até o momento em que novas informações são digitadas no PC novamente. Inclusive este tipo de banker é um dos mais complicados de lidar. Porque eles se auto atribuem como "somente leitura", dificultando a captura e remoção deles.

P.S.: A resposta do seu log está no post anterior |St1ng3r|.

__________________________________________________ ___________

Postado originalmente por DaYWaLKeR

Amigo MR.WOLF,

Já descobri oque era aquele 'atdmt do msn" é aquelas propagandas quando vc clica carrega esse site e direciona pro site da propaganda

Agora tó mais tranquilo

Obrigado!

DaYWaLKeR, como eu disse anteriormente, o atmdt é um adware. Os adwares exibem mesmo propagandas e anúncios em determinados softwares, sites.

Veja se ele não se encontra em Adicionar ou Remover Programas do Painel de Controle. Se estiver lá, desinstale-o normalmente.

**luisednardo** · 23-06-09 16:07

Postado originalmente por Mr.Wolf

luisednardo, seu problema é com um Worm chamado SpyBot (não, não tem relação alguma com o anti-spyware Spybot Search & Destroy). Esta infecção: C:\WINDOWS\system32\csrcs.exe.
Worm que aliás está comum de ser ver nos logs que você está postando aqui de uns tempos pra cá, luisednardo. Se este PC estiver em rede, desconecte-o.

Já está desconectado Mr Wolf. Posso usar o SDFix?

**Thais Clarisse** · 23-06-09 16:52

Olá Mr.Wolf,

Fiz tudo conforme vc me orientou e deu tudo certinho. Abaixo esta o log do HijackThis de agora.

Se me permite gostaria de te perguntar uma coisa, existe algum curso que eu posso aprender a fazer isso que vc faz?? Estou falando dessas analises com logs, desses programas que eu nunca vi, seu conhecimento tb disse tudo é muito amplo, parabens. Porque estou quase pra me formar em arquitetura e gosto bastante da area de informatica e depois desse virus que vc me ajudou eu fiquei com um trauma enorme menino ! risos

Eternamente agradecida por tudo que me ajudou ate agora

Thais

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:47:12, on 23/6/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\Google\Update\GoogleUpdate.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe
C:\Arquivos de programas\Google\Google Talk\googletalk.exe
C:\Arquivos de programas\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolb arNotifier.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\THAIS AXÉ\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\THAIS AXÉ\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\THAIS AXÉ\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Arquivos de programas\MSN Messenger\usnsvc.exe
c:\arquivos de programas\avira\antivir personaledition classic\avcenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Arquivos de programas\Foxit Software\Foxit Reader\Foxit Reader.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\HijackThis\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orkut.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 198.198.87
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 10.198.87;164.4.*;local;138.103
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java" Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.d ll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Arquivos de programas\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe"
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicialização rápida do HP Image Zone.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Google Search - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFBAR.ICO
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra "Tools" menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
O14 - IERESET.INF: SEARCH_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
O14 - IERESET.INF: MS_START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/game...lugin11USA.cab
O16 - DPF: {77538FC7-CE52-4704-9865-494FE92BC320} (LaunchUBO.Ulit) - http://www.ultimatebaseballonline.co.../launchubo.OCX
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} (Groove Control) - http://atv.disney.go.com/global/down.../OTOYAX29b.cab
O16 - DPF: {7C5D062A-7A1E-4A46-A02B-A928084CBD66} (MLauncherNew Class) - http://legendofares.netgame.com/down...auncherNew.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/bon...loader_v10.cab
O20 - Winlogon Notify: logon - C:\
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\System32\igfxsrvc.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\bin\btwdins.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fb_inet_server .exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Serviço iPod (iPod Service) - Apple Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7522 bytes

**Primoit** · 23-06-09 19:14

Grato Mr.Wolf ja resolvi com o Dr.Web cure e o kaspersky virus tool

Pode analisar esse outro log por favor?

**Primoit** · 23-06-09 19:16

post duplo

desculpe

**Black Panter** · 23-06-09 22:43

prezado Mr. Wolf.

como solicitado realizei as alteraçoes e aqui esta o novo log. obrigado pela atençao.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:37:28, on 23/6/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Arquivos de programas\Internet Download Manager\IDMan.exe
D:\Arquivos de programas\NitroPC\NitroPC.exe
C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolb arNotifier.exe
C:\Documents and Settings\All Users\Dados de aplicativos\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\PoivY.com\PoivY\PoivY.exe
C:\Arquivos de programas\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Arquivos de programas\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
C:\Documents and Settings\Ildo\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Arquivos de programas\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Ildo\Meus documentos\Downloads\Compressed\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Arquivos de programas\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Arquivos de programas\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Arquivos de programas\Norton Internet Security\Engine\16.5.0.135\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\3.1.807.174 6\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.d ll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Arquivos de programas\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] D:\Arquivos de programas\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [NitroPC] "D:\Arquivos de programas\NitroPC\NitroPC.exe" -minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolb arNotifier.exe
O4 - HKCU\..\Run: [PoivY] "C:\Arquivos de programas\PoivY.com\PoivY\PoivY.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Arquivos de programas\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Ildo\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Arquivos de programas\Arquivos comuns\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - D:\Arquivos de programas\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - D:\Arquivos de programas\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - D:\Arquivos de programas\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanage...ex-2.2.4.8.cab
O16 - DPF: {60541D7A-4EF1-4117-9607-7C1B0EEAAD18} (Image Uploader Control) - http://iu.ak.sonico.com//ImageUploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Arquivos de programas\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O23 - Service: Box_NTR v2.6A (.bntr) - Unknown owner - C:\Documents and Settings\All Users\Dados de aplicativos\Norton\bntr.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Dados de aplicativos\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Arquivos de programas\Arquivos comuns\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Arquivos de programas\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Arquivos de programas\Arquivos comuns\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9034 bytes

Tópico: Remoção de vírus

Compartilhar Post

Ferramentas de Tópicos

Marcadores

Marcadores

Permissões de Postagem